近日，美國一家網絡安全初創公司Exabeam宣布進入XDR，這本身并不算什么大消息，不過這家公司的定位卻讓原本簡單的事情變得復雜了，Exabeam是一家SIEM供應商。

XDR目前仍是一個新興的安全領域，結合了安全信息和事件管理(SIEM)、安全編排自動化和響應(SOAR)、端點檢測與響應(EDR)以及網絡流量分析(NTA)，集中安全數據和事件響應，是一種跨多個安全層收集并自動關聯信息以實現快速威脅檢測的方法。此番行動不禁讓大家聯想到，SIEM是否會就此轉向XDR。

根據Forrester分析師Allie Mellen所說，XDR和SIEM并不是融合，而是相互碰撞。

[[402355]]

因此，SIEM的最終結局是:要么創新，要么死亡!

XDR是對SIEM供應商的警鐘嗎?

Mellen表示，SIEM在過去十年中已經在慢慢地進化了?，F在大多數都包含了SOAR組件，以及網絡分析、可見性和用戶行為分析，抑或是至少提供與這些工具的其他供應商集成。不過，這是遠遠不夠的。

SIEM通過收集大量數據、運行安全分析和“大海撈針”來搜尋威脅，XDR則是通過另一個角度。XDR采取的方法是繼續增加端點的保護，然后在此基礎上利用來自網絡等真正強大的信息來進行充實。

XDR的關鍵區別在于其在端點威脅檢測和響應的基礎。

Mellen想向SIEM供應商傳達的信息是，供應商需要做更多的創新并找到更好的方法來解決SOC的痛點，這對供應商來說是一個警鐘。隨著XDR的快速發展，SIEM領域終于有了真正的競爭對手，這對于SIEM廠商來說既是挑戰，也是機遇，因為安全行業最能夠拉開差距的就是技能方面的差異。

XDR供應商的差異化

目前，Palo Alto Networks、趨勢科技、SentinelOne和CrowdStrike等XDR早期采用者都已推出了XDR平臺，作為XDR供應商，它們“對未來有著強大的戰略”。

Mellen將Exabeam描述為面向XDR的創新SIEM玩家。

Exabeman提供給安全分析師的信息都是用例驅動的，分析師可以了解如何應對攻擊，這對新晉分析師或經驗不足的分析師來說非常有益。Exabeman的威脅檢測、調查和響應(TDIR)用例包內置在其Fusion XDR中，提供了規范工作流和數據源、檢測模型、監視列表、調查清單和響應等內容。

另一個有趣的是Rapid7。就在上個月，Rapid7收購了Velociraptor，這是一個開源技術社區，用于端點監控、數位取證和事件響應。此次收購將幫助Rapid7建立事件響應和端點能力-如果Rapid7進入XDR，這兩項能力都將發揮重要作用。

Rapid7還通過合并和收購向云安全市場進軍。今年2月，它收購了Kubernetes安全公司Alcide，大約一年前，它收購了云安全態勢管理提供商DivvyCloud。

SIEM的反擊

SIEM的領導者Splunk表示，并不擔心XDR會侵蝕安全分析市場。

Splunk負責安全產品的副總裁Jane Wong提出，XDR目前并不能取代安全分析平臺或安全信息和事件管理(SIEM)解決方案，目前還是一個共存的局面。

她補充說，實際上，Splunk的安全分析平臺可以幫助XDR增強威脅檢測能力。

Exabeam在針對XDR和SIEM的未來發展方面所持的觀點也是類似的。Exabeam首席產品官Adam Geller說，客戶永遠不會在其安全運營中心中只有一個平臺或供應商。因此，客戶將始終需要與供應商無關的安全分析服務，可以跨所有環境中的所有數據。

他補充說：“如今的XDR玩家和EDR玩家都在嘗試通過收購來增加更多的日志收集、存儲和搜索功能。但是大多數公司生產的都是終端產品，這也意味著，與供應商無關才是最值得關注的挑戰。”

此外，越來越多的客戶將數據存儲在多個數據湖和超大規模云提供商的數據存儲中，并希望能夠有一種能夠跨不同的云和數據湖訪問這些數據的威脅檢測和響應服務。

Geller說，“我不知道SIEM是否會像客戶的安全數據湖一樣永遠存在下去，也不知道這種方法是否會永遠存在下去，因為無論數據存儲在哪里，重要的是能訪問這些數據。在這種情況下，XDR或SIEM未來都會繼續演變，現在還很難說。”